Web アプリケーションファイアウォール（WAF）

Fastly を活用した、クラウドインフラストラクチャー上のAdobe Commerceの web アプリケーションファイアウォール（WAF）サービスは、サイトやネットワークに損傷を与える前に、悪意のあるリクエストトラフィックを検出、ログに記録、ブロックします。 WAF サービスは、実稼動環境でのみ使用できます。

WAF サービスには次の利点があります。

WAF の有効化

Adobeは、プロビジョニングが完了してから 2～3 週間以内に、新しいアカウントに対して WAF サービスを有効にします。 WAF は Fastly CDN サービスを通じて実装されます。 ハードウェアやソフトウェアをインストールまたは保守する必要はありません。

仕組み

WAF サービスは Fastly と統合され、Fastly CDN サービス内のキャッシュロジックを使用して、Fastly グローバルノードでトラフィックをフィルタリングします。 実稼動環境では、に基づいたデフォルトの WAF ポリシーで WAF サービスを有効にします。 Trustwave SpiderLabs の ModSecurity ルール OWASP Top Ten のセキュリティ上の脅威

WAF サービスは、WAF ルールセットに対して HTTP および HTTPS トラフィック（GETおよびPOSTリクエスト）をフィルタリングし、悪意のあるトラフィックや特定の規則に準拠しないトラフィックをブロックします。 サービスは、キャッシュの更新を試みるオリジンバインドトラフィックのみをフィルタリングします。 その結果、Fastly キャッシュでの攻撃トラフィックのほとんどを停止し、悪意のある攻撃からオリジントラフィックを保護します。 オリジントラフィックのみを処理することで、WAF サービスはキャッシュのパフォーマンスを維持し、キャッシュされていないリクエストごとに推定 1.5 ミリ秒から 20 ミリ秒の待ち時間しか発生しません。

ブロックされたリクエストのトラブルシューティング

WAF サービスを有効にすると、WAF ルールに対して web および管理者のすべてのトラフィックがフィルタリングされ、ルールをトリガーする web リクエストがブロックされます。 リクエストがブロックされると、リクエスターにはデフォルトが表示されます 403 Forbidden ブロックイベントの参照 ID を含むエラーページ。

管理者からこのエラー応答ページをカスタマイズできます。 参照： WAF 応答ページのカスタマイズ.

Adobe Commerce管理ページまたはストアフロントがを返す場合 403 Forbidden エラーページ正当な URL リクエストに応答して、以下を送信します。 Adobe Commerce サポートチケット. エラー応答ページから参照 ID をコピーし、チケットの説明に貼り付けます。

WAF のメンテナンスとアップデート

Fastly は、商用のサードパーティ、Fastly のリサーチ、およびオープンソースからのルール更新に基づいて、WAF ルールセットを維持および更新します。 Fastly は、必要に応じて、またはルールの変更がそれぞれのソースから利用可能な場合に、公開されたルールをポリシーに更新します。 また、Fastly は、WAF サービスが有効になった後に、公開されたルールのクラスに一致するルールを、任意のサービスの WAF インスタンスに追加できます。 これらの更新により、新しい攻撃や進化する攻撃に対する迅速な対応が保証されます。

Adobeおよび Fastly は更新プロセスを管理し、更新がブロッキングモードでデプロイされる前に、新規または変更された WAF ルールが実稼動環境で効果的に機能することを確認します。

制限事項

Fastly を利用した標準の WAF サービスでは、次の機能はサポートされていません。

WAF サービスでは、IP アドレスに基づくトラフィックのブロックや許可は許可されませんが、Fastly サービスに ACL （アクセス制御リスト）スニペットとカスタム VCL スニペットを追加して、トラフィックのブロックや許可を行うための IP アドレスと VCL ロジックを指定することができます。 参照： カスタム Fastly VCL スニペット.

TCP、UDP、または ICMP 要求のフィルタリングは、WAF サービスではサポートされていません。 ただし、この機能は、Fastly CDN サービスに含まれる組み込みの DDoS 保護によって提供されます。 参照： DDoS 保護.